GH GambleHub

Təhlükəsizlik və uyğunluq sertifikatları

Niyə lazımdır

Sertifikatlar və sertifikatlar yetkin təhlükəsizlik təcrübələrini təsdiqləyir və tənzimlənən bazarlara və tərəfdaşlara giriş açaraq satış dövrünü (due diligence) azaldır. Açar «birdəfəlik audit» deyil, ölçülən nəzarət nöqtələri ilə davamlı idarəetmə sistemi qurmaqdır.

Landşaft xəritəsi (nə və nə vaxt seçilir)

ISO/IEC 27001 - İnformasiya Təhlükəsizliyi İdarəetmə Sistemi (ISMS). Proseslərin universal «skeleti».

Əlavələr: ISO 27017 (bulud), 27018 (bulud privacy), 27701 (PIMS, gizlilik), 22301 (BCMS, sabitlik).
SOC 2 (AICPA): Type I (tarixdə dizayn) və Type II (dizayn + adətən 3-12 ay müddətində əməliyyat səmərəliliyi). Trust Services Criteria: Security, Availability, Processing Integrity, Confidentiality, Privacy.
PCI DSS (kartların emalı üçün): əməliyyatların həcminə görə səviyyələr, QSA-nın iştirakı ilə ROC/AOC, rüblük ASV skanları, pentestlər və CHD zonalarının seqmentasiyası.
CSA STAR (Level 1-3): bulud provayderləri və xidmətləri üçün bəyannamə/audit.
Əlavə domenlər üzrə: ISO 20000 (ITSM), ISO 31000 (risk-menecment), ISO 37001 (anti-bribery), TISAX/ISAE 3402 (sənaye/maliyyə).
GDPR/privacy: «GDPR sertifikatı» yoxdur; ISO 27701 və müstəqil qiymətləndirmələr/davranış kodları tətbiq.

💡 Seçim qaydası: B2B SaaS/fintech → ISO 27001 + SOC 2 Tip II; ödəniş axınları/kartları → PCI DSS; PII → 27701 ilə sıx iş; bulud focus → 27017/27018/CSA STAR.

Sertifikatlaşdırma vs sertifikatlaşdırma

Sertifikatlaşdırma (ISO): Akkreditə olunmuş orqan illik nəzarət auditləri ilə 3 illik sertifikat verir.
Sertifikatlaşdırma (SOC 2): müstəqil auditor dövr üçün hesabat (opinion) verir; NDA altında müştərilərə təqdim etdiyiniz sənəd.
PCI DSS: Daha kiçik həcmlər üçün ROC (Report on Compliance) və AOC (Attestation of Compliance) və ya SAQ tərəfindən təsdiqlənir.

Skope: sərhədləri necə kəsmək olar

1. Aktivlər və proseslər: məhsullar, mühit (prod/stage), regionlar, məlumat sinifləri (PII/maliyyə/kartlar).
2. Texniki memarlıq: bulud, VPC/VNet, Kubernetes, CI/CD, gizli idarəetmə, DWH/analitika.
3. Təşkilati zonalar: ofislər/uzaqdan iş yerləri, podratçılar, autsors dəstəyi.
4. Təchizatçılar (third parties): PSP, məzmun provayderləri, KYC/AML, buludlar - birgə məsuliyyət modeli.
5. İstisnalar: nəyə görə yığılmadığını və kompensasiya tədbirlərini qeyd edin.

"Birinci nişan 'a yol xəritəsi

1. Məqsədlərə qarşı gap-analiz (27001/SOC 2/PCI).
2. Risk menecmenti: metodika, risk reyestri, emal planı, Statement of Applicability (ISO).
3. Siyasət və rollar: IB/privacy siyasəti, məlumat təsnifatı, accessories (IAM), loging, reaksiya, BCM/DR.
4. Texniki nəzarət: şifrələmə, şəbəkələr (WAF/WAAP, DDoS), boşluqlar/yamalar, təhlükəsiz SDLC, arxalar, monitorinq.
5. Sübut bazası: reqlamentlər, jurnallar, ekran görüntüləri, boşaltmalar, biletlər - versiya şəklində saxlanılır.
6. Daxili audit/Readiness-qiymətləndirmə.
7. Xarici audit: stage 1 (doc review) → stage 2 (effektivlik/samples). SOC 2 Type II üçün - «müşahidə müddəti».
8. Nəzarət/dəstək: rüblük yoxlamalar, illik nəzarət auditləri (ISO), illik SOC yeniləmə 2.

Nəzarət matrisi (nümunə parçası)

DomenlərISO 27001 Annex ASOC 2 TSCPCI DSSNəzarət növü/artefakt
Access ManagementA.5, A.9CC6. x7, 8RBAC/ABAC, JML, SCIM-loqlar, revue hüquqları
ŞifrləməA.8CC6. 1, CC6. 73KMS/HSM, TLS 1. 2 +/mTLS, əsas siyasətlər
Boşluqlar/yamalarA.12, A.14CC7. x6, 11. 3Skanlar, MTTP, pentest hesabatları, ASV
Qeydlər/monitorinqA.5, A.8, A.12CC7. x10SIEM/SOC, retenshn, alert və RCA
BCM/DRA.5, A.17A1. x1222301-planlar, DR test nəticələri

Auditor nə göstərəcək (tipik sorğular)

Access: IdP/IAM hesabatları, JML qeydləri, imtiyaz review.
Sirləri: KMS/Vault siyasətləri, rotasiya tarixi.
Boşluqların taranması: son hesabatlar, revediasiya biletləri, MTTP şərtləri.
Jurnallar/alertlər: hadisə halları, MTTD/MTTR, post-morts.
Təchizatçılar: reyestr, DPIA/DTIA (əgər PII), müqavilə tədbirləri, risk qiymətləndirmələri.
Təlim və testlər: fişinq simulyasiyaları, IB təlimləri, təsdiqlər.
BC/DR: son təlimlərin nəticələri, RTO/RPO faktları.

Davamlı nəzarət (Continuous Compliance)

Policy-as-Code: Deploys üçün OPA/Gatekeeper/Kyverno; «Enforce» kritik qaydalara əsaslanır.
Continuous Control Monitoring (CCM): Hər N dəqiqə/saat yoxlama (baket şifrələmə, açıq port, MFA-coverage).
GRC sistemi: nəzarət reyestri, sahibləri, vəzifələri və şərtləri, metrik bağlama.
Vahid artefakt-hub: «dəlillər» (evidence) versiyası və nəzarət nöqtəsi ilə işarələnir.
Hesabatların avtogenerasiyası: SoA, Risk Register, Control Effectiveness, KPI/SLO.

Uyğunluq üçün metriklər və SLO

Coverage:% avtomatik yoxlama ilə nəzarət;% satınalma aktivləri.
Reaksiya vaxtı: p95 audit sorğularının bağlanması ≤ 5 iş günü.
Etibarlılıq: «nəzarət yaşıl zonada deyil» ≤ ayda 1% vaxt.
Boşluqlar: MTTP P1 ≤ 48 saat, P2 ≤ 7 gün; pentest remediation ≤ 30 gün.
IB təlimi: personalın əhatə dairəsi ≥ 98%, dövriliyi 12 ay.

Bulud və Kubernetes üçün xüsusiyyətlər

Bulud: resursların inventarlaşdırılması (IaC), «diskdə »/» kanalda» şifrələmə, jurnallaşdırma (CloudTrail/Activity Logs), minimal rollar. «Miras» qorunmasının bir hissəsi kimi provayderlərin sertifikat hesabatlarından (SOC 2, ISO, PCI) istifadə edin.
Kubernetes: namespace üzrə RBAC, Admission-policies (image imzaları/SBOM, qadağa ': latest'), şəbəkə siyasətçiləri, etcd xaricindəki sirlər (KMS), API serverinin auditi, şəkillər/klasterlər üçün tarama profilləri.
Şəbəkələr və perimetri: WAF/WAAP, DDoS, seqmentasiya, «geniş» VPN əvəzinə ZTNA.

PCI DSS (ödəniş mühitləri üçün dəqiqləşdirmələr)

CHD zonasının seqmentasiyası: minimum sistemlər; mTLS PSP; vebhuki - HMAC ilə.
Rüblük ASV skanları və illik pentestlər (seqmentasiya da daxil olmaqla).
Qeydlər və bütövlük: FIM, dəyişməz jurnallar, «çap zamanı» (NTP).
Sənədlər: Siyasət, Kart məlumat axını diaqramları, AOC/ROC, hadisə prosedurları.

Gizlilik (ISO 27701 + GDPR-yanaşma)

Rollar: nəzarətçi/prosessor, emal reyestri, hüquqi əsaslar.
DPIA/DTIA: məxfiliyin və transsərhəd ötürmələrin risklərinin qiymətləndirilməsi.
Subyektlərin hüquqları: SLA cavabları, texniki axtarış/silmə vasitələri.
Minimallaşdırma/təxəllüsləşdirmə: memarlıq nümunələri və DLP.

Artefaktlar (hazır şablonlar - «əl altında» saxlamaq üçün nə)

Statement of Applicability (SoA) Annex A-nın daxil edilməsi/xaric edilməsi motivasiyası ilə.
Sahibləri və dəlilləri ilə Control Matrix (ISO, SOC2, PCI).
Risk Register metodologiyası (impact/likelihood) və emal planı ilə.
BC/DR planları + son təlimlərin protokolları.
Secure SDLC paketi: review çek vərəqləri, SAST/DAST hesabatları, deploi siyasəti.
Supplier Due Diligence: anketlər (SIG Lite/CAIQ), risk qiymətləndirmələri, müqavilə tədbirləri.

Tez-tez səhvlər

«Audit üçün audit»: canlı proseslər yoxdur, yalnız siyasətçi qovluqları.
Çox geniş: bahalaşır və saxlanmasını çətinləşdirir; «dəyər nüvəsi» ilə başlayın.
Əl dəlil toplama: yüksək əməliyyat borcu; CCM və boşaltma avtomatlaşdırın.
Metrsiz nəzarət: idarə etmək mümkün deyil (SLO/sahibləri yoxdur).
Unudulmuş post-sertifikatlaşdırma rejimi: rüblük yoxlamalar yoxdur → nəzarət sürprizləri.
Kontur xaricində podratçılar: üçüncü tərəflər hadisələrin mənbəyi və auditdə «qırmızı xəritə» olurlar.

Hazırlıq siyahısı (qısaldılmış)

  • coupe müəyyən, aktivlər, sahibləri; verilənlər və axınlar xəritəsi.
  • Risk reyestri, SoA (ISO üçün), Trust Services Criteria (SOC 2 üçün) nəzarət altında yerləşdirilmişdir.
  • Siyasətlər, prosedurlar, kadr hazırlığı yerinə yetirilib və aktualdır.
  • Controls avtomatlaşdırılmış (CCM), dashboard və alerts bağlıdır.
  • Hər bir nəzarət üçün dəlillər toplanır/versiyalaşdırılır.
  • Daxili audit/Readiness; kritik boşluqlar aradan qaldırıldı.
  • Auditor/orqan təyin edildi, müşahidə müddəti razılaşdırıldı (SOC 2) və ya Addım 1/2 planı (ISO).
  • yerində pentest/ASV (PCI), redediasiya planı və fiks təsdiqi.

Mini şablonlar

Nəzarət üçün metrik siyasət (nümunə)

Nəzarət: «PII olan bütün baketlər KMS tərəfindən şifrələnmişdir».
SLI: şifrələmə ilə% baketlər.
Məqsəd: ≥ 99. 9%.
Alert: düşdükdə <99. 9% 15 dəqiqədən çox → P2, sahibi - Head of Platform.

Sübut jurnalı (fraqment)

NəzarətSübutTezlikAnbarMəsuliyyətli
PII-yə giriş loqosu90 gün ərzində SIEM ixracıAylıqGRC/Evidence HubSOC Lead
Sirlərin rotasiyasıVault audit log + change ticketHəftəlikGRCDevOps Lead

iGaming/Fintech üçün xüsusiyyətlər

Yüksək riskli domenlər: ödənişlər/ödənişlər, antifrod, backofis, tərəfdaşlıq inteqrasiyası - yığım və nəzarətdə prioritet.
Biznes göstəriciləri: Vaxt-to-Wallet, reg → depozit çevirilməsi - qoruyucu tədbirlərin və auditlərin təsirini nəzərə alın.
Regionallıq: Aİ/LATAM/Asiya tələbləri - transsərhəd ötürmələrin uçotu, lokal tənzimləyicilər.
Məzmun təchizatçıları/PSP: məcburi due diligence, mTLS/HMAC, hüquqi əlavə razılaşmalar.

Yekun

Sertifikatlar intizam və avtomatlaşdırmanın nəticəsidir: risk menecmenti, canlı siyasətlər, ölçülə bilən nəzarət və daimi hazırlıq. Düzgün dəst seçin (ISO 27001/27701/22301, SOC 2 Type II, PCI DSS, CSA STAR), skopu seçin, yoxlamaları avtomatlaşdırın (CCM/Policy-as-Code), artefaktları qaydasında saxlayın və SLO-nu ölçün - beləliklə uyğunluq proqnozlaşdırıla bilər və məhsul artımını dəstəkləyir, onun üçün əyləc deyil.

Contact

Bizimlə əlaqə

Hər hansı sualınız və ya dəstək ehtiyacınız varsa — bizimlə əlaqə saxlayın.Həmişə köməyə hazırıq!

İnteqrasiyaya başla

Email — məcburidir. Telegram və ya WhatsApp — istəyə bağlıdır.

Adınız istəyə bağlı
Email istəyə bağlı
Mövzu istəyə bağlı
Mesaj istəyə bağlı
Telegram istəyə bağlı
@
Əgər Telegram daxil etsəniz — Email ilə yanaşı orada da cavab verəcəyik.
WhatsApp istəyə bağlı
Format: ölkə kodu + nömrə (məsələn, +994XXXXXXXXX).

Düyməyə basmaqla məlumatların işlənməsinə razılıq vermiş olursunuz.